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(57) Abstract: The invention relates to a process automation system wherein process appliances (1 to 6) carry out pre- determined 
functions in terms of the process automation and interchange functional and/or appliance -related data (23, 24) with the process 
automation system, at least one part of the data (23, 24) being interchanged in an encoded manner. 



(57) Zusammenfassung: In einem Prozessautomatisierungssystem, in dem Prozessgerate (1 bis 6) vorgegebene Funktionen im Rah- 
men der Prozessautomatisierung ausfuhren und dabei mit dem Prozessautomatisierungssystem funktions- und/oder geraterelevante 
Daten (23, 24) austauschen, wird zumindest ein Teil der Daten (23, 24) verschlusselt ausgetauscht. 
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Beschreibung 

Prozessautomatisierungssystem und Prozessgerat fur ein 
Pr o zes s automat i si erungs system 

5 

Die Erfindung betrifft ein Prozessautomatisierungssystem und 
ein Prozessgerat ftir ein Prozessautomatisierungssystem. 

In zunehmendem Mafte ergibt sich die Forderung nach einer 

10 Ubertragung von Daten zwischen einem Prozessautomatisierungs- 
system oder Teilen oder Komponenten davon und externen Stel- 
len. Beispiele dafur sind Fernprogrammierung, Fernparametrie- 
rung, Fernwartung oder Ferndiagnose . So ist es aus der 
DE 198 48 618 Al bekannt, zur Fernwartung und/oder Diagnose 

15 von der externen Stelle an das Prozessautomatisierungssystem 
zu ubertragende Daten, z. B. ein Steuerbef ehl , in eine E-Mail 
zu verpacken, diese an das Prozessautomatisierungssystem zu 
adressieren und dorthin abzusenden. Innerhalb des Prozess- 
automatisierungssystems wird die E-Mail von dem Adressaten 

2 0 empfangen, der den Steuerbef ehl durch Decodieren extrahiert 
und an die Anwendung, ftir die der Steuerbef ehl bestimmt ist, 
weiterleitet . Umgekehrt konnen in gleicher Weise Daten von 
dem Prozessautomatisierungssystem an externe Stellen uber- 
mittelt werden. Spezielle Datenverbindungen zwischen dem Pro- 

25 zessautomatisierungssystem und den externen Stellen sind dazu 
nicht erf orderlich, weil standardmaftige Dateniibertragungs- 
systeme (globale und/oder lokale Datennetze, wie z. B. Inter- 
net bzw. Intranet) in Verbindung mit einem elektronischen 
Schutzwall (Firewall) um das Prozessautomatisierungssystem 

30 verwendet werden konnen, wobei der elektronische Schutzwall 
fur die E-Mails durchlassig ist (sog, E-Mail-Tunneling) . 

Zur Erhdhung der Sicherheit gegen ein unerlaubtes Eindringen 
in den Schutzwall des Prozessautomatisierungssystems konnen 
35 die in der E-Mail verpackten Daten verschltisselt und an- 

schlieBend beim Extrahieren aus der E-Mail wieder entschllis- 
selt werden, bevor sie weitergeleitet werden. Dabei erfolgt 
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die Verschliisselung der an die externe Stelle zu libermitteln- 
den Daten bzw. die Entschllisselung der von der externen Stel- 
le empfangenen Daten innerhalb des Prozessautomatisierungs- 
systems in einer einzigen Verschllisselungs- bzw. Entschllisse- 
5 lungsvorrichtung . Es ist daher nicht ohne weiteres moglich, 
einen ausgewahlten Teil der Daten, z. B. sicherheitsrelevante 
Daten, verschllisselt und die librigen Daten unverschllisselt 
zwischen dem Prozessautomatisierungssystem und der externen 
Stelle auszutauschen. Statt dessen werden, soweit eine Ver- 

10 schllisselung vorgesehen ist, alle liber den elektronischen 

Schutzwall auszutauschenden Daten pauschal verschllisselt, was 
rait einem entsprechenden Aufwand und einer Reduzierung der 
Dateniibertragungsgeschwindigkeit verbunden ist, Ferner ist 
der Austausch der verschllisselten Daten zwischen dem Prozess- 

15 automatisierungssystem und den externen Stellen auf den Weg 

liber die Verschllisselungs- und Entschliisselungsvorrichtung in 
dem Prozessautomatisierungssystem beschrankt, so dass es 
nicht moglich ist, verschliisselte Daten an unterschiedlichen 
Orten innerhalb des Prozessautomatisierungssystems zu kornmu- 

20 nizieren. Schlieftlich sind zu sendende Daten vor ihrer Ver- 
schlusselung und empf angene Daten nach ihrer Entschllisselung 
innerhalb des Prozessautomatisierungssystems manipulierbar . 

Die Verschliisselung vertraulicher Daten vor ihrer Ubertragung 
25 an einen Empf anger ist allgemein bekannt. Bei dem so genann- 
ten offentlichen Ver schllisselungsverf ahren verwendet der 
Sender einen offentlichen Schllissel des berechtigten Empfan- 
gers zur Verschliisselung der Daten, so dass nur dieser die 
Daten mit seinem eigenen privaten Schllissel entschllisseln 
30 kann. Die Authentif izierung des Senders kann durch Signieren 
der Daten erfolgen. Dazu verschllisselt der Sender die Daten 
mit seinem eigenen privaten Schllissel, wahrend der Empfanger 
zur Entschllisselung der Daten den offentlichen Schllissel des 
Senders verwendet. Mit offentlichen Schllisseln verschliisselte 
35 Daten sind nicht notwendigerweise authentisch, wahrend mit 
privaten Schllisseln signierte Daten nicht vertraulich sind. 
Zur Herstellung von Vertraulichkeit und Authentizitat konnen 
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daher Verschltisselung und Signierung koiabiniert werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schltissel und anschlieftend mit dem offentlichen Schltissel des 
Empf angers verschltisselt . Um schlieBlich auch noch die In- 
5 tegritat, d. h. die Unverf alschtheit , der iibertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen Pruf- 
code bestiimaen, der signiert, d. h. mit dem sendereigenen 
privaten Schltissel verschliisselt, an den Empfanger tibertragen 
wird. Der Empfanger entschliisselt den Prtifcode mit dem 
10 offentlichen Schltissel des Senders und vergleicht den so 

entschltisselten Prtifcode mit dem aus den empfangenen Daten 
berechneten Prtifcode; wenn beide Prufcodes gleich sind, ist 
die Integritat der Daten gesichert. 

15 Der Erfindung liegt die Aufgabe zugrunde, eine flexible und 
zugleich sichere Handhabung ausgewahlter wichtiger Daten 
eines Pro z es s automat isierungs systems zu ermoglichen . 

Gemafl der Erfindung wird die Aufgabe durch das Prozessauto- 
20 matisierungssystem nach Anspruch 1 bzw. das Prozessgerat nach. 
Anspruch 5 gelost. 

Vorteilhafte Weiterbildungen des erf indungsgemafien Prozess- 
automatisierungssystems bzw, Prozessgerats sind in den Unter- 
25 ansprtichen angegeben. 

In dem erf indungsgemaiien Prozessautomatisierungssystem ftihren 
Prozessgerate vorgegebene Funktionen im Rahmen der Prozess- 
automatisierung aus und tauschen dabei mit dem Prozessautoma- 
30 tisierungssystem funktions- und/oder geraterelevante Daten 
aus, wobei zumindest ein Teil der Daten verschltisselt aus- 
getauscht wird. 

Das erf indungsgemafie Prozessgerat fur ein Prozessautomatisie- 
35 rungssystem enthalt eine Funktionseinrichtung zur Ausftihrung 
vorgegebener Funktionen im Rahmen der Prozessautomatisierung 
und eine mit der Funktionseinrichtung verbundene und an das 
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Prozessautomatisierungssystem anschlieBbare Kommunikations- 
einrichtung zum Austausch funktions- und/oder geraterelevan- 
ter Daten rait dem Prozessautomatisierungssystem, wobei die 
Kommunikationseinrichtung den Austausch zumindest eines Teils 
5 der Daten verschlusselt durchf iihrende Mittel aufweist. 

Die Verschltisselung bzw. Entschliisselung von Daten erfolgt in 
den Prozessgeraten, also den Sendern und Empfangern der 
Daten, wobei die verschliisselten Daten innerhalb des Prozess- 

10 automatisierungssystems auf dieselbe Weise wie unverschlus- 
selte Daten kommuniziert werden. Unter Prozessgeraten sind 
Feldgerate, Wartengerate und sonstige Endgerate zu verstehen, 
also beispielsweise Messumf ormer , Aktoren, Antriebe, Analy- 
sengerate, Steuerungen und Regler. So sind z. B. Messumf ormer 

15 Sender von Messdaten und Empfanger von Parametrierungsdaten, 
die zu ihrer Parametrierung dienen . In dem Umfange, in dem 
diese Daten als sicherungsbediirf tig angesehen werden, werden 
sie uber die Kommunikationseinrichtung des Messumf ormers 
verschlusselt mit dem Prozessautomatisierungssystem ausge- 

20 tauscht; andere, nicht als sicherungsbediirf tig eingestufte 

Daten werden unverschlusselt ausgetauscht . Je nach Verschltis- 
selung sind die verschliisselten Daten gegen Manipulation ge- 
schutzt und/oder konnen nur von einem berechtigten Empfanger 
empfangen werden, wobei zusatzlich der Sender authentif izier- 

25 bar 1st. Sender und Empfanger von Daten konnen gleichermaBen 
die Prozessgerate innerhalb des Prozessautomatisierungs- 
systems wie auch externe Stellen sein, die beliebig an das 
Prozessautomatisierungssystem angekoppelt werden konnen. 

30 In der Hardware, durch Programmierung oder durch ggf . ver- 
schltisselt durchzuf iihrende Parametrierung der Prozessgerate 
ist festgelegt, welche Daten als sicherungsbediirf tig gelten 
und verschlusselt auszutauschen sind. So werden sicherungs- 
bedurftige Sendedaten automatisch verschltisselt, bevor sie 

35 abgesandt werden, und empfangene Daten konnen nur nach Ent- 
schltisselung in dem Prozessgerat weiterverarbeitet werden. 
Dabei kann ein Teil der Daten sowohl unverschlusselt als auch 
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parallel dazu verschliisselt ausgetauscht werden. Ein Beispiel 
hierfilr sind Messdaten, die sowohl in dem Prozessautomatisie- 
rungssystem im Rahmen der Steuerung und Regelung unverschlus- 
selt weiterverarbeitet werden als auch bei eichpf lichtigen 
5 Applikationen oder fur amtliche Uberwachungszwecke verwendet 
und dazu verschliisselt werden. So konnen z. B. eichfahige 
Wagedaten von Industriewaagen verschliisselt an einen externen 
Datenspeicher oder eine Anzeige ausgegeben werden, ohne dass 
der Dateniibertragungsweg gekapselt werden muss, und gleich- 

10 zeitig mit den unverschlusselten Wagedaten beispielsweise ein 
Abfiillvorgang gesteuert werden. Da hier z. B. die verschltis- 
selten Daten im Wesentlichen fur Registrierungszwecke verwen- 
det werden, kann vorgesehen werden, dass die verschlusselten 
Daten gegenuber den unverschlusselten Daten nachrangig, d. h. 

15 mit niedrigerer Prioritat, kommuniziert werden, so dass die 
Steuerung und Regelung mit den unverschlusselten Daten nicht 
beeintrachtigt wird. Dabei kann insbesondere vorgesehen wer- 
den, dass verschliisselte Daten zunachst, ggf • mit Zeit- 
stempeln versehen, gesammelt werden, bevor sie zu einem spa- 

20 teren Zeitpunkt beispielsweise in einem Datenpaket gebundelt 
kommuni z i ert werden . 

Zur weiteren Erlauterung der Erfindung wird im Folgenden auf 
die Figuren der Zeichnung Bezug genommen; im Einzelnen zeigen 

25 

Figur 1 ein Ausf iihrungsbeispiel des erf indungsgeraaften 
Prozessautomatisierungs systems und 

Figur 2 ein Ausf iihrungsbeispiel des erf indungsgemaBen 
30 Prozessgerats . 

Figur 1 zeigt in schematischer Darstellung ein Prozessautoma- 
tisierungs system mit einer Vielzahl von Prozessgeraten, die 
vorgegebene Funktionen im Rahmen der Prozessautomatisierung 
35 ausfiihren und dabei funktions- und/oder geraterelevante Daten 
mit dem Prozessautomatisierungssystem austauschen. Unter 
Prozessgeraten sind hier Datenendgerate, also Sender und 
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Empf anger von Daten zu verstehen. Insbesondere gehoren dazu 
Feld- und Wartengerate, z. B. Messumf ormer 1 ftir Druck, 
Temperatur, Durchfluss, Fill 1 stand usw., Analysengerate 2 ftir 
Gas- oder Fllissigkeitsanalyse, Wagesysteme 3, S tellungsregler 
5 fur Ventile und sonstige dezentrale Regler 4, Stellantriebe 
5, Registrier- und Anzeigegerate 6. Zum Austausch der Daten 
innerhalb des Prozessautomatisierungssystems sind die Pro- 
zessgerate im dezentralen Peripheriebereich zusammen mit de- 
zentraler Steuerung und Regelung 7 und Bedienung und Beobach- 

10 tung 8 liber Feldbusse 9 oder andere Kommunikationswege mit- 
einander verbunden, wobei unterschiedliche Feldbusse 9 uber 
Buskoppler 10 miteinander verbunden sind. Die Feldbusse 9 
sind wiederum uber Steuereinrichtungen 11 an einem zentralen 
Anlagenbus 12 angebunden, an dem auch eine zentrale Steuerung 

15 und Regelung 13 und Bedienung und Beobachtung 14 angeschlos- 
sen ist. Der Anlagenbus 12 ist liber eine Koppeleinrichtung 15 
mit einem globalen Kommunikationsnet z 16, z. B. Internet, 
verbunden, um einen Datenaustausch mit externen Stellen 17 
beispielsweise zur Fernwartung, -diagnose, -parametrierung, 

20 -uberwachung usw. des Prozessautomatisierungssystems bzw. 
einzelner Prozessgerate zu ermoglichen. SchlieBlich konnen 
weitere externe Stellen 18, z. B. Programmier- r Diagnose- 
oder Servicegerate an unterschiedlichen Punkten des Prozess- 
automatisierungssystems angekoppelt werden. 

25 

Vorgegebene sicherungsbediirf tige Daten des Prozessautomati- 
sierungssystems werden verschlusselt ausgetauscht, wobei je 
nach Verschliisselung sichergestellt ist, dass diese Daten auf 
dem Wege von dem Sender zu dem Empfanger oder den Empfangern 

30 gegen Manipulation geschiitzt sind und/oder nur von einem be- 
rechtigten Empfanger empfangen werden konnen, wobei zusatz- 
lich der Sender authentif izierbar ist. Die Verschliisselung 
bzw. Entschllisselung erfolgt in den Datenendgeraten, also den 
Sendern bzw. Empfangern, hier den Prozessgeraten bzw. exter- 

35 nen Stellen, wobei die verschllisselten Daten innerhalb des 
Prozessautomatisierungssystems genauso wie unverschllisselte 
Daten ubertragen werden. 
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Figur 2 zeigt ein Prozessgerat , hier z. B. einen Messumf ormer 
1 mit einer Funktionseinrichtung 19 zur Ausfiihrung der Mess- 
funktion unci mit einer mit der Funktionseinrichtung 19 ver- 
bundenen und an das Prozessautomatisierungssystem, hier den 
5 Feldbus 9, anschliefibaren Kommunikationseinrichtung 20 zum 
Austausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem. Die Funktionseinrichtung 1 9 
umfasst einen Sensor 21 und eine Messwerterf assung und 
-berechnung 22 , die Messdaten, Diagnosedaten und sonstige 

10 gerate- oder funktionsspezif ische Daten 23 generiert und 

. Befehls-, Parametrier- und sonstige ihr zugeftihrte Daten 24 
verarbeitet. Diese Sendedaten 23 und Empf angsdaten 24 werden 
uber die Kommunikationseinrichtung 20 des Messumf ormers 1 mit 
dem Prozessautomatisierungssystem ausgetauscht . Durch Hard- 

15 wareverschaltung oder Programmierung ist festgelegt, welche 
der Sendedaten 23 in einer Verschliisselungsvorrichtung 25 
verschlusselt werden. Bei Empf angsdaten 24 erkennt die Kommu- 
nikationseinrichtung 20, welche der Daten verschlusselt sind 
und entschliisselt diese in einer Entschliisselungsvorrichtung 

20 26. Die Ver schliisselung bzw. Entschlusselung der Daten 23 und 
24 erfolgt hier nach dem offentlichen Verschlusselungsver f ah- 
ren. Dazu enthalt jedes Prozessgerat, hier also der Mess- 
umformer 1, einen eigenen privaten Schliissel sowie einen dazu 
korrespondierenden offentlichen Schliissel, wobei die Schliis- 

25 sel in dem Messumformer 1 hinterlegt oder von diesem selbst 
generiert werden. Im Unterschied zu dem unzuganglich abge- 
speicherten privaten Schliissel wird der offentliche Schliissel 
bei der Einbindung des Messumf ormers 1 in das Prozessautoma- 
tisierungssystem, z. B. bei der Inbetriebnahme, einer zen- 

30 tralen Schliisselverwaltung 27 (Figur 1) mitgeteilt, fur die 
ein separates Gerat vorgesehen sein kann oder die in einem 
bereits vorhandenen Gerat, z. B. einer speicherprogrammier- 
baren Steuerung, des Prozessautomatisierungssystems imple- 
mentiert ist. Externe Stellen 18, die mit Prozessgeraten 

35 Daten austauschen wollen, melden sich zuvor automatisch bei 
der Schliisselverwaltung 27 an und hinterlegen dort nach 
Uberpriifung ihrer Identitat ihren jeweiligen offentlichen 
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Schltissel. Die zentrale Schliisselverwaltung 27 gewahrleistet 
die Authentizitat der verwalteten offentlichen Schltissel, 
indem diese jeweils mit dem privaten Schltissel der Schllissel- 
verwaltung 27 signiert werden, so dass mit Hilfe des offent- 
5 lichen Schltissels der Schliisselverwaltung 27 jederzeit die 

Authentizitat der offentlichen Schltissel gepriift werden kann. 

1st z. B. vorgesehen, dass die Einstellung eines bestimmten 
Parameters in einem Prozessgerat , z. B. 4, nur durch eine 

10 autorisierte externe Stelle 18 moglich sein soil, so wird der 
an das Prozessgerat 4 zu ubertragende Einstellwert in der 
externen Stelle 18 derart verschlusselt, dass die Integritat 
des Einstellwerts beim Eitipfang durch das Prozessgerat 4 
sichergestellt ist und dass ferner das Prozessgerat 4 die 

15 Identitat der externen Stelle 18 und damit deren Berechtigung 
zur Parametereinstellung feststellen kann, 

Es kann vorgesehen sein, dass ein und dieselben Daten, hier 
z. B. die Messdaten des Messumf ormers 1, an bestimmte Empfan- 

20 ger, z. B. ein eichpf lichtiges Registrier- oder Anzeigegerat , 
verschlusselt und an andere Empf anger, z. B. die Messdaten 
weiterverarbeitende Regler, unverschltisselt tibertragen wer- 
den. In der Regel werden nur diejenigen Daten verschlusselt 
tibertragen, die sicherungsbedtirf tig sind; alle tibrigen Daten, 

25 insbesondere die zur Prozesssteuerung und -regelung dienenden 
Daten, werden tiberwiegend unverschltisselt tibertragen. Urn die 
Prozesssteuerung und -regelung nicht zu beeintrachtigen, 
werden die unverschliisselten Daten mit hoherer Prioritat als 
die verschltisselten Daten kommuniziert , wozu die verschltis- 

30 selten bzw. zu verschltisselnden Daten zunachst in einem Spei- 
cher 2 8 des Prozessgerats 1 gesammelt werden konnen. 

Die hier beschriebene Datenverschltisselung ermoglicht also 
insbesondere eine f alschungssichere Fernparametrierung von 
35 Prozessgeraten oder einen autorisierten Service von beliebi- 
gen Stellen aus, eine sichere amtliche Uberwachung von Mess- 
werten oder Prozesszustanden, eine f alschungssichere Ubertra- 



WO 02/095506 



PCT/DE02/01766 



9 

gung von sicherheitsrelevanten und/oder vertraulichen Daten, 
Diagnosedaten oder Anlagenparametern, wie z. B. Rezepturen, 
die Ubertragung von eichfahigen Daten ohne das Erfordernis 
einer Kapselung der tJbertragungswege, uvm . 
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Patentanspruche 

1. Prozessautomatisierungssystem, in dem Prozessgerate (1 bis 
6) vorgegebene Funktionen im Rahmen der Prozessautomatisie- 
5 rung ausfuhren unci dabei mit dem Prozessautomatisierungs- 
system funktions- und/oder geraterelevante Daten (23, 24) 
austauschen, wobei zumindest ein Teil der Daten (23, 24) ver- 
schlusselt ausgetauscht wird. 

10 2. Prozessautomatisierungssystem nach Anspruch 1, dadurch 
g e k e nn z e i ch n e t , dass zumindest ein Teil der Daten (23, 
24) verschliisselt und parallel dazu unverschlusselt ausge- 
tauscht wird. 

15 3. Prozessautomatisierungssystem nach Anspruch 1 oder 2, 
dadurch gekennzeichnet , dass verschlusselte Daten 
gegeniiber unverschlusselten Daten nachrangig ausgetauscht 
werden . 

20 4. Prozessautomatisierungssystem nach Anspruch 3, dadurch 
g e k e nn z e i c hn e t , dass verschlusselte Daten zunachst in 
einem Speicher (28) des Prozessgerats (1) ges amine It und da- 
nach ausgetauscht werden. 

25 5. Prozessgerat (1) fur ein Prozessautomatisierungssystem mit 
einer Funktionseinrichtung (19) zur Ausfiihrung vorgegebener 
Funktionen im Rahmen der Prozessautomatisierung und mit einer 
mit der Funktionseinrichtung (19) verbundenen und an das Pro- 
zessautomatisierungssystem anschlieftbaren Kommunikations- 

30 einrichtung (20) zum Austausch funktions- und/oder gerate- 
relevanter Daten (23, 24) mit dem Prozessautomatisierungs- 
system, wobei die Kommunikationseinrichtung (20) den Aus- 
tausch zumindest eines Teils der Daten (23, 24) verschliisselt 
durchf uhrende Mittel (25, 2 6) aufweist. 



35 
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